MMM mmm_agentd shell命令注入漏洞
CVE编号
CVE-2017-14481利用情况
暂无补丁情况
N/A披露时间
2018-05-10漏洞描述
MySQL Multi-Master Replication Manager(MMM)是一组灵活的脚本,用于执行MySQL主-主复制配置的监视/故障转移和管理。mmm_agentd是运行在每个MySQL服务器上并为监控节点提供一组简单的远程服务的代理守护进程。 基于Solaris平台的MySQL Multi-Master Replication Manager (MMM) 2.2.1版本中的mmm_agentd 守护进程的‘MMM::Agent::Helpers::Network::send_arp’函数存在命令注入漏洞。攻击者可借助特制的MMM协议消息利用该漏洞注入shell命令并以mmm\_agentd进程的权限执行任意命令。解决建议
厂商已发布漏洞修复程序,请及时关注更新:http://mysql-mmm.org/doku.php
参考链接 |
|
|---|---|
| https://www.talosintelligence.com/vulnerability_reports/TALOS-2017-0501 |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | mysql-mmm | mysql_multi-master_replication_manager | 2.2.1 | - | |||||
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 高
- 保密性 高
- 完整性 高
| CWE-ID | 漏洞类型 |
| CWE-78 | OS命令中使用的特殊元素转义处理不恰当(OS命令注入) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论